Windows에는 다양한 아티팩트가 생성된다.
프로그램을 실행했을 때 생성되는 아티팩트, 컴퓨터를 부팅했을 때 생기는 아티팩트들도 존재한다. 사용자의 행적을 찾기 위해서는 사용자가 어떤 프로그램을 사용했는지에 대한 흔적을 찾는 것은 중요하다. 레지스트리의 Amcache도 있을거고, LNK 파일, JumpList 등 다양한 아티팩트에서 행적들을 찾을 수 있는데 오늘 여기서는 Prefetch 파일을 다뤄보려고 한다.
https://weasley-forensics.notion.site/Windows-Prefetch-c629bd6f4a9b4708a938a5689a82f9a0?pvs=4
'Forensic > 파일-구조' 카테고리의 다른 글
ShellBags Artifact (7) | 2023.05.20 |
---|---|
MFT(Master File Table) 구조 (0) | 2022.09.02 |
디렉터리 엔트리 분석 - LFN, SFN (0) | 2022.08.17 |
NTFS(New Technology File System) File System Structure (0) | 2022.07.18 |
FAT32(File Allocation Table) File System Structure (0) | 2022.02.13 |